Hiline vestlus WhatsAppis paljastas murettekitava turvaprobleemi

Olin läinud vara magama, seega võtsin järgmisel hommikul telefoni, avasin WhatsAppi ja kerisin tagasi, et näha, mida olin jätnud vahele.

Kuid selle asemel, et otse vestlusesse sukelduda, tervitas mind täisekraani viip, mis küsis minu kahesammulist kinnituskoodi—funktsioon, mille olin kuud varem lisaturvalisuse huvides sisse lülitanud. Siiani kõik korras, aga kas märkate probleemi?

See on turvafunktsioon, et hoida mu vestlused privaatsena, aga miks on seal sulgemisikoon? See on halb kasutajaliidese disaini valik ja olen töötanud piisavalt disaineritega, et teada—hea disainer oleks selle märganud ja kui mitte, siis hea arendaja oleks pidanud selle kinni püüdma. Mis läks Metas valesti?

Mõtlemata tapsutasin "X"-i ekraani ülemises parempoolses nurgas. Arvasin, et see tühistab sisselogimise või võib-olla saadab mu tagasi eelmisele ekraanile—see oli instinktiivne, midagi, mida olin teinud lugematutes teistes rakenduses. Kuid see, mis järgmisena juhtus, tabas mind täiesti ootamatult: dialoog lihtsalt kadus ja sattusin otse rakendusse, nagu poleks lisaturvakiht üldse olemas.

Esialgu polnud ma kindel, mis oli juhtunud. Kas rakendus kontrollis minu isikut vaikimisi mõnel muul viisil? Lukustasin WhatsAppi, avasin uuesti ja testisin veel kord. Sama tulemus: "X" tühistab PIN-i viiba ja annab täieliku juurdepääsu. Ühe puudutusega olin ma mööda hiilind oma kahesammulisest kinnitusest ja kompromiteerinud just selle funktsiooni, mille arvasin mu kontot kaitsvat.

See, mis oleks pidanud olema sein, oli lihtsalt pooleldi avatud uks

Kui ma sain aru, mis äsja juhtus, tabas mind uppuv tunne. See polnud varjatud viga või peidetud seadistus—see oli vaikimisi voo osa. WhatsApp küsib mu PIN-i, kuid annab mulle siis põgenemistee. See "X" pole viisakus; see on saatuslik loogikaviga.

Kahesammuline kinnitamine peaks olema kindel takistus, mis takistab volitamata juurdepääsu. Siin käsitletakse seda soovitusena. Ja see on kasutajakogemuse otsus tegelike turvalisuse tagajärgedega.

Miks see on nüüd olulisem kui kunagi varem

Omaette on see hooletus murettekitav. Kuid see juhtub just siis, kui Meta surub oma tehisintellekti sügavamale WhatsAppi—tutvustades chatbotte, tehisintellekti soovitatud vastuseid ja nutikaid otsingufunktsioone, mis puudutavad meie suhtluse kõige isiklikumaid aspekte. Mida rohkem on tehisintellekt rakenduse kangasse põimitud, seda kõrgemaks muutuvad privaatsuse ja turvalisuse panused.

Kui tehisintellekti assistent teie sõnumirakenduses saab teid tõugata infot jagama, toetub ta usalduse ja tugevate kontrollide alusele. Kui just seda meedet, mis on mõeldud volitamata sissetungi peatamiseks, saab ühe puudutusega kõrvale heita, siis mida see ütleb rakenduse pühendumuse kohta teie andmete kaitsmisele?

Disaini valikud peegeldavad prioriteete

Kui keegi, kes vaatab liidestusi professionaalselt, tean ma, et midagi WhatsAppi sarnases tootes ei juhtu juhuslikult. Kui seal on "X", siis keegi on selle disaininud. Kui selle "X"-i vajutamine möödub turvalisusest, siis keegi on sellele alla kirjutanud. See valik—olgu see tahtlik või üle vaadatud—saadab selge sõnumi: kasutatavust eelistatakse turvalisusele hetkel, mil seda ei tohiks olla.

Miljonid kasutajad lubavad kahesammulist kinnitamist, uskudes, et see lukustab nende konto turvaliselt. Kui see usaldus on rikutud, pole see lihtsalt mõne tehniliselt kogenud kasutaja küsimus, kes märkab viga—see õõnestab kõigi usaldust.

Vaikne eelkäik

Praegu on see tühistatav PIN-i viip. Homme võivad need olla tehisintellekti juhitud tõuked rohkemate andmete jagamiseks või automatiseeritud funktsioonid, mis libisevad radari alt läbi. Iga kord, kui turvaomadust käsitletakse valikulisena, loome eelkäiku privaatsusomaduste jaoks, et need oleksid läbiräägitavad, mitte kohustuslikud.

Pole alarmistlik öelda, et see, kuidas turvalisust täna rakendatakse, kujundab digitaalse privaatsuse tulevikku. Kui Meta ei suuda WhatsAppis lihtsat PIN-i ekraani turvata, kuidas saame usaldada seda sügavama tehisintellekti juhitud juurdepääsuga meie kõige privaatsematele vestlustele?

Lõppmõtted ja üleskutse tegutsemiseks

Ma ei plaanind turvavea avastamist, kui võtsin telefoni, et vestlusega järele jõuda. Kuid see üks puudutus—tühista, sisene, pääse ligi—muutis mu vaadet WhatsAppi turvamudelile. Ja jättis mind mõtlema: kui kriitilist kahesammulist kinnitust saab nii kergesti mööda hiilida, siis milliseid muid kaitseid vaikselt õõnestatakse?

Ja ärge unustage, et Meta "tollal Facebook" lisas oma rakendustesse ühel hetkel koodi, et võtta kõik teie kõnede andmed ja SMS-sõnumid. Jah, nad kasutasid selle lubamiseks lube, kuid enamik inimesi valis selle, teadmata, et nad seda tegid, või mõeldes, miks korporatsioon tahaks nende isiklikku infot. Kuna Meta paneb nüüd tehisintellekti WhatsAppi rakendusse võimekusega kaevandada andmeid kõigist teie vestlustest. On ainult aja küsimus, millal valitsused ütlevad Metale, et eraldada kõik telefoni andmed konkreetse isiku või inimeste grupi jaoks.